Steam 目前是 PC 游戏最主要的数位平台,不过资安问题严重,经营公司 Valve 在 2015 年 12 月“自曝其短”,公开透露每个月有高达 7.7 万账号遭盗,无数虚拟道具、宝物遭到盗卖,Valve 自爆资安问题,是希望玩家能有更高的资安意识。
Steam 平台打从推出的第一天起就有骇客尝试入侵,不过真正资安问题大爆发,是在 2011 年 8 月,推出 Steam Trading 虚拟物件交易平台以后,在盗卖的诱因下,入侵盗用账号事件暴增 20 倍,Valve 表示:“账号被盗、物件被卖走,是个糟透了的经验,而我们痛恨消费者账号越来越常遭盗用。”
当玩家受害之后,Valve 的补偿办法是复制一份遭盗的虚拟道具或宝物偿还玩家,不过这不是长久之计,因为许多宝物之所以值钱是因为稀有,如果太常复制,那么游戏的虚拟经济将发生稀宝“通货膨胀”,而可能造成全体玩家不满,或是虚拟经济秩序大乱。
因此,Valve 积极提升资安,补起漏洞,当发现有入侵风险时就主动通知玩家,并推出自动锁定系统以防免道具遭盗卖,并推出 Steam Guard 账户保全系统,含两阶段的认证程序。
建立“第三方发货”安全机制
然而,尽管推出这么多措施,却因为许多玩家懒得配合,结果没能发挥效用,账号还是一样大批大批被盗。
要减少账号遭盗用,釜底抽薪之计是干脆关闭虚宝交易平台,如此一来就没有入侵账号的动机了,不过这对 Valve 来说显然不是可接受的选项,对玩家来说也不是个好办法;其次是要求所有人都必须经过两阶段认证才能交易或赠与道具,但这样一来试用尝鲜暂时不想认证老半天的新玩家就糗了,就算朋友要送个道具也不行,Valve 最后想出折衷的办法,那就是“第三方发货”概念。
交易的道具,Valve 会先保留 3 天,才会发送出去;除非交易的两个账号已经互为好友超过 1 年,那就只保留 1 天;而若是账号经过安全认证至少 7 天以上,且开启交易确认功能,才能立即交易道具。此外,经过手机认证 7 天以上的账号,使用新装置上线时将不受限制,因为身份会透过手机认证机制确认。
Valve 认为,每次增加安全机制,都会让玩家更难使用 Steam 平台,增加安全性总是有所牺牲,只能希望牺牲越小越好,影响越少人越好,同时能保持其效果。新机制推出后,盗卖虚拟物品变得困难,或许盗账号问题也能因此纾解。
- 77,000 Steam accounts hacked every month, new security measures deployed
(首图来源:Flickr/Vancouver Film School CC BY 2.0)
